IT-Sicherheit für Dummies. Rainer W. Gerling. Читать онлайн. Newlib. NEWLIB.NET

Автор: Rainer W. Gerling
Издательство: John Wiley & Sons Limited
Серия:
Жанр произведения: Зарубежная компьютерная литература
Год издания: 0
isbn: 9783527833573
Скачать книгу
in dem die Türen keine Schlösser haben. Die Türen stehen ständig offen und die auf den Schreibtischen liegenden Dokumente sind dem Zugriff Unbefugter ausgesetzt, wenn ein Beschäftigter das Büro verlassen hat. Die Unternehmensleitung möchte die Sicherheit erhöhen und lässt deswegen Schlösser in die Türen einbauen. Das Ergebnis ist aber, dass trotz eingebauter Schlösser die Türen ständig offenstehen. Daraufhin erlässt die Unternehmensleitung eine Dienstanweisung, dass beim Verlassen des Büros die Bürotür abgeschlossen werden muss. Die technische Maßnahme »Schloss« allein löste das Problem nicht. Erst die ergänzende organisatorische Maßnahme »Dienstanweisung« über den Umgang mit dem Schloss schafft den gewünschten Erfolg. Da sich nicht alle Beschäftigten zu 100 Prozent an die Dienstanweisung halten, müssen zusätzlich regelmäßige Kontrollen die Regeleinhaltung sicherstellen.

      Entsprechendes gilt auch in der digitalen Welt. Es ist zum Beispiel nicht hinreichend, wenn Sie ein Betriebssystem einsetzen, das eine Anmeldung mit Benutzername und Passwort ermöglicht. Es sind auch verbindliche Regeln (typisch Passwort-Policy oder Passwortrichtlinie) im Unternehmen erforderlich, die einen vernünftigen Umgang mit Passwörtern vorgeben, etwas in puncto Mindestlänge, Komplexität und Wechselhäufigkeit. Hand aufs Herz: Nutzen Sie bei allen Ihren Rechnern ein sicheres Passwort?

      In der Definition lesen Sie auch erstmals die Begriffe »Verfügbarkeit, Integrität oder Vertraulichkeit« als etwas, das Sie sicherstellen müssen. Diese Begriffe, die auch Schutzziele genannt werden, müssen wir uns im weiteren Verlauf dieses Kapitels noch genauer anschauen.

      

»›Sicherheit von Netz- und Informationssystemen‹ [ist] die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über diese Netz- und Informationssysteme angeboten werden beziehungsweise zugänglich sind, beeinträchtigen; «

      Art. 4 Nr. 2 NIS-Richtlinie, ABl. L 194 vom 19.7.2016, S. 1–30

      Sie finden hier den zusätzlichen Begriff der »Authentizität« bei den Schutzzielen. Wenn Sie das BSI-Gesetz von Anfang bis Ende lesen, stoßen Sie auf diesen Begriff auch dort in zahlreichen Paragraphen (genauer in den Paragraphen 2, 8a, 8b und 8f). Diese Absätze wurden allerdings alle erst nachträglich in das BSI-Gesetz eingefügt. Hier sehen Sie, wie ein Begriff aus der europäischen Gesetzgebung dann bei der Anpassung der deutschen Gesetze an die europäischen Vorgaben in den deutschen Gesetzen auftaucht.

      In der NIS-Richtlinie finden Sie eine Definition der Sicherheit als Fähigkeit von Systemen, Angriffe auf Daten, Dienste und Systeme abzuwehren. In dieser Definition fehlt Schutz vor Störungen durch Naturgewalten und Unfälle vollständig. Die NIS-Richtlinie regelt den Bereich der sogenannten »kritischen Infrastruktur«, also den Bereich, der bei einem Ausfall unser gesellschaftliches Leben erheblich beeinträchtigen kann. Darüber hinaus sind dort auch die digitalen Dienste, das sind Online-Suchmaschinen, Online-Marktplätze und Cloud-Computing-Dienste, geregelt. Gerade bei der kritischen Infrastruktur ist der Schutz vor den Auswirkungen von Katastrophen extrem relevant.

      2019 trat die EU-Verordnung über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (Rechtsakt zur Cybersicherheit) in Kraft. In dieser Verordnung finden Sie den für uns jetzt neuen Begriff »Cybersicherheit«. In der Definition taucht dann der Begriff »Cyberbedrohung« auf, der dort ebenfalls definiert ist.

      

»›Cybersicherheit‹ bezeichnet alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen;

      ›Cyberbedrohung‹ bezeichnet einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte;«

      Art. 2 Nr. 1 und Nr. 8 Rechtsakt zur Cybersicherheit, ABl. L 151 vom 7.6.2019, S. 15–69

      Nachdem in den deutschen Gesetzen, Normen und in der Fachliteratur über einen längeren Zeitraum der Wechsel von IT-Sicherheit zur Informationssicherheit weitgehend vollzogen wurde, kündigt sich jetzt der Begriff Cybersicherheit an und weitet den Anwendungsbereich nochmals aus.

      Auch wenn es modern ist, von »Cyber« zu reden, ist Ihnen vielleicht auf den ersten Blick nicht klar, was damit gemeint ist. Cyberabwehr, Cyberkrieg, Cyberspionage, Cybercrime, Abwehr von Cyberangriffen, diese Schlagworte finden Sie zum Beispiel auch zuhauf auf den Seiten des Verteidigungsministeriums [BMVG]. Der »Cyberraum« oder auch der »Cyber- und Informationsraum« beschreibt als Sammelbegriff die gesamte digital vernetzte Welt: also das weltumspannende Internet mit all seinen Facetten – inklusive des Darknets, eines verborgenen Teils des Internets, der nur mit spezieller Software zugänglich ist. Alle Bedrohungen, die aus dem Cyberraum kommen, sind Cyberangriffe und der Schutz vor diesen Bedrohungen und die Abwehr solcher Angriffe machen die Cybersicherheit aus.

      

Während IT-Sicherheit sich technisch auf den Schutz der informationstechnischen Systeme fokussiert, bezieht Informationssicherheit zusätzlich den Schutz von Informationen losgelöst von der Technik mit ein. »Cyber-Sicherheit ist die IT-Sicherheit der im Cyber-Raum auf Datenebene vernetzten bzw. vernetzbaren informationstechnischen Systeme.« [BMI16]

      International, insbesondere im englischsprachigen Raum und im politischen Sprachgebrauch, ist Cybersicherheit bzw. Cybersecurity der relevante Begriff. Er wird allerdings häufig synonym mit IT-Sicherheit verwendet. [CBL14]

      

Auf Grund der englischen Begriffe Confidentiality, Integrity und Availability wird auch gerne die Abkürzung »CIA« für diese drei grundlegenden Schutzziele gewählt.

      Verfügbarkeit